كنا قد نشرنا سابقا خبر اكتشاف فيروس فلام Flame أو الشعلة والذي يستهدف التجسس على مستخدمي الإنترنت في الشرق الأوسط على وجه الخصوص، واليوم ننشر تفاصيل في غاية الخطورة في رأيي ورأي كثير من باحثي أمن المعلومات في العالم: فيروس فليم استغل خاصية تحديث النظام في ويندوز (Windows Update) لينتشر ويصيب أجهزة الكمبيوتر الأخرى.
طبقا للمعلومات الجديدة، يوجد في الفيروس ثلاث وحدات (Snack، Gadget، Munch) تستخدم لعمل هجوم الرجل في الوسط (man-in-the-middle) ضد أجهزة الكمبيوتر الأخرى المتصلة بذات الشبكة.
عندما يقوم جهاز ما بمحاولة الإتصال بخدمة تحديث ويندوز (Windows Update) يقوم الفيروس بخداع هذا الجهاز ويجعله يتصل بجهاز آخر مصاب بالفيروس والذي يقوم بدوره بإرسال تحديث وهمي للجهاز الأول، والذي ما هو إلا عبارة عن الجزء الرئيسي من الفيروس ليتم تثبيته على الجهاز الذي تم خداعه.
طبقا لفريق سيمانتيك للإستجابة للطوارئ الأمنية، فإن الجزء المسمى (Snack) يقوم باعتراض طلبات (NetBIOS) التي تتم على الشبكة المحلية والمسماه (NetBIOS name resolution) والتي تسمح لأجهزة ويندوز بالتعرف على بعضها البعض على الشبكة الداخلية.
عندما يقوم جهاز ما بطلب الكشف عن اسم أحد الأجهزة على الشبكة (name resolution) وبالتحديد القيام بطلب يسمى (WPAD) أو (Web Proxy Auto-Discovery Protocol)، يقوم فيروس فليم عندها بانتحال صفة خادم (WPAD) ثم يقوم بتقديم ملف إعدادات وهمي لبروتوكول (WPAD) لخداع الجهاز العميل (wpad.dat)، وتسمى هذه التقنية بتقنية إختطاف بروتوكول (NetBIOS WPAD) وهي منتشرة ويوجد كثير من برامج الهاكرز التي تستغل هذه التقنية في عملها.
والآن يبدأ الجزء الممتع، فبمجرد أن يقوم الجهاز المخدوع – والذي لم تتم إصابته بالفيروس بعد – باستلام ملف (wpad.dat) فسيقوم بتعديل إعدادات خادم البروكسي وجعلها تشير إلى الجهاز المصاب بفيروس فليم، وبالتالي فإن كل طلبات الإنترنت (web traffic) وحركة البيانات التي يقوم بها هذا الجهاز لا بد أن تتم عن طريق الجهاز المصاب بفيروس فليم.
وهنا تأتي دور الوحدة المسماه (Munch) وهي عبارة عن خادم ويب مدمج في فليم والتي تتلقى كل طلبات الويب التي تمت إعادة توجيهها من الجهاز الذي تم خداعه، ثم تقوم هذه الوحدة بالبحث عن مجموعة محددة مسبقا من الطلبات من ضمنها الطلبات المتضمنة عناوين الويب (URL) لخدمة تحديث النظام في ويندوز (Windows Update)، طبعا اختطاف خدمة تحديث ويندوز ليست بالأمر السهل لأن التحديث يجب أن يكون موقعا (signed) عليه بواسطة مايكروسوفت، ولكن فليم يقوم بتجاوز هذه العقبة عن طريق استخدام شهادة صادرة وموثقة من مايكروسوفت لعمل توقيع (signning) لنفسه وكأنه تحديث موثوق به وآتي من مايكروسوفت مباشرة، وهكذا عندما يصل طلب تحديث ويندوز إلى الجهاز المصاب بفليم، يقوم الجزء المسمى (Gadget) بتوفير أحد أجزاء الفيروس – والموقع بشهادة مايكروسوفت المسروقة – للجهاز الغير مصاب باستخدام الوحدة (MUNCH) والتي تقوم بإرسالها إلى الجهاز الأول والذي تم خداعه ليقوم بتثبيت الفيروس على نفسه.
طبعا استجابت مايكروسوفت لهذه المعلومات الجديدة بقولها أنها ستقوم بعمل مراجعة أمنية شاملة لنظام التحديث في ويندوز لجعله أكثر أمانا مستقبلا؟؟!!.
